다음을 통해 공유

SharePoint Server와 AMSI 통합 구성

적용 대상:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

소개

사이버 보안 환경은 대규모의 복잡한 공격과 인간이 운영하는 랜섬웨어 가 증가하고 있다는 신호에 의해 입증된 바와 같이 근본적으로 변경되었습니다. 그 어느 때보다도 SharePoint 서버를 포함하여 온-프레미스 인프라를 안전하고 최신 상태로 유지하는 것이 중요합니다.

고객이 환경을 보호하고 공격으로 인한 관련 위협에 대응할 수 있도록 SharePoint Server와 AMSI(Windows 맬웨어 방지 검사 인터페이스 ) 간의 통합을 도입하고 있습니다. AMSI는 애플리케이션 및 서비스가 컴퓨터에 있는 모든 AMSI 지원 맬웨어 방지 제품과 통합할 수 있는 다양한 표준입니다.

AMSI 통합 기능은 악의적인 웹 요청이 SharePoint 엔드포인트에 도달하지 못하도록 설계되었습니다. 예를 들어 보안 취약성에 대한 공식 수정 사항이 설치되기 전에 SharePoint 엔드포인트에서 보안 취약성을 악용합니다.

SPSE(SharePoint Server 구독 버전) 버전 25H1부터 AMSI는 HTTP 요청의 본문을 포함하도록 검사 기능을 확장합니다. 이 요청 본문 검사 기능은 요청 페이로드에 포함될 수 있는 위협을 감지하고 완화하여 보다 포괄적인 보안 솔루션을 제공하는 데 유용합니다.

참고

새 요청 본문 검사 기능은 SharePoint Server 구독 버전 사용자만 사용할 수 있습니다. 지금까지 초기 릴리스 링에서 사용할 수 있으며 SPSE 2025 9월 PU부터 Standard 링에 포함됩니다. 초기 릴리스 링 사용자는 SPSE 2025년 9월 PU 이후 본문 검사의 기본 모드로 "전체 모드"를 볼 수 있습니다.

SharePoint Server와 AMSI 통합

AMSI 지원 바이러스 백신 또는 맬웨어 방지 솔루션이 SharePoint Server와 통합되면 서버에 대한 및 요청을 검사 HTTP 하고 HTTPS SharePoint Server가 위험한 요청을 처리하지 못하도록 방지할 수 있습니다. 서버에 설치된 AMSI 지원 바이러스 백신 또는 맬웨어 방지 프로그램은 서버가 요청을 처리하기 시작하는 즉시 검사를 수행합니다.

AMSI 통합의 목적은 서버에 이미 설치된 기존 바이러스 백신/맬웨어 방지 방어를 대체하는 것이 아닙니다. SharePoint 엔드포인트에 대한 악의적인 웹 요청으로부터 추가 보호 계층을 제공하는 것입니다. 고객은 여전히 서버에 SharePoint 호환 바이러스 백신 솔루션을 배포하여 사용자가 바이러스가 있는 파일을 업로드하거나 다운로드하지 못하도록 해야 합니다.

필수 구성 요소

AMSI 통합을 사용하도록 설정하기 전에 각 SharePoint Server에서 다음 필수 조건을 검사.

  • Windows Server 2016 이상
  • SharePoint Server 구독 버전 버전 22H2 이상
  • SharePoint Server 2019 빌드 16.0.10396.20000 이상(KB 5002358: 2023년 3월 14일 SharePoint Server 2019 보안 업데이트)
  • SharePoint Server 2016 빌드 16.0.5391.1000 이상(KB 5002385: SharePoint Server 2016용 2023년 4월 11일 보안 업데이트)
  • AV 엔진 버전이 1.1.18300.4 이상인 Microsoft Defender(또는 호환되는 AMSI 지원 타사 바이러스 백신/맬웨어 방지 공급자)

SharePoint Server에 대한 AMSI 활성화/비활성화

SharePoint Server 2016/2019에 대한 2023년 9월 보안 업데이트 및 SharePoint Server 구독 버전 대한 버전 23H2 기능 업데이트부터 SharePoint Server와 AMSI 통합은 SharePoint Server 내의 모든 웹 애플리케이션에 대해 기본적으로 사용하도록 설정됩니다. 이 수정은 고객 환경의 일반적인 보안을 강화하고 잠재적인 보안 위반을 완화하는 것을 목표로 합니다.

2023년 9월 보안 업데이트를 시작하려면 고객은 업데이트를 설치하고 SharePoint 제품 구성 마법사만 실행하면 됩니다.

참고

고객이 2023년 9월 공개 업데이트 설치를 건너뛰면 SharePoint Server 2016/2019용 2023년 9월 보안 업데이트 또는 SharePoint Server 구독 버전 대한 버전 23H2 기능 업데이트를 포함하는 후속 공개 업데이트를 설치할 때 이 변경 내용이 활성화됩니다.

2025년 9월 공개 업데이트부터 SharePoint Server 구독 버전/2016/2019에 대한 AMSI 통합은 필수 구성 요소이며 더 이상 비활성화할 수 없습니다.

고객이 SharePoint Server 팜 내에서 AMSI 통합을 자동으로 사용하도록 설정하지 않으려는 경우 다음 단계를 수행할 수 있습니다.

  1. SharePoint Server 2016/2019용 2023년 9월 보안 업데이트 또는 SharePoint Server 구독 버전 대한 버전 23H2 기능 업데이트를 설치합니다.
  2. SharePoint 제품 구성 마법사를 실행합니다.
  3. 표준 단계에 따라 웹 애플리케이션에서 AMSI 통합 기능을 사용하지 않도록 설정합니다.

이러한 단계를 수행하는 경우 SharePoint는 향후 공개 업데이트를 설치하는 동안 기능을 다시 사용하도록 설정하지 않습니다.

사용자 인터페이스를 통해 AMSI 구성

SharePoint Server 2016 및 2019년 9월 공개 업데이트 또는 이전 버전의 SharePoint Server 구독 버전 버전 25H1 이전 버전을 사용하는 경우 다음 단계에 따라 각 웹 애플리케이션에 대한 AMSI 통합을 수동으로 비활성화하거나 활성화합니다.

  1. SharePoint 중앙 관리를 열고 애플리케이션 관리를 선택합니다.
  2. 웹 애플리케이션에서 웹 애플리케이션관리를 선택합니다.
  3. AMSI 통합을 사용하도록 설정할 웹 애플리케이션을 선택하고 도구 모음에서 기능 관리를 선택합니다.
  4. SharePoint Server 맬웨어 방지 검사 화면에서 비활성화를 선택하여 AMSI 통합을 끄거나 활성화를 선택하여 AMSI 통합을 전환합니다.

SharePoint Server 구독 버전 버전 25H1 기능 업데이트를 설치한 경우 다음 단계에 따라 AMSI 통합 설정을 활성화하거나 비활성화하고 구성합니다.

  1. SharePoint 중앙 관리를 엽니다.

  2. 보안 섹션으로 이동합니다.

  3. AMSI 구성을 선택합니다.

  4. AMSI 검사 구성 페이지에서 원하는 웹 애플리케이션을 선택합니다.

  5. 다음으로, 적절한 옵션을 선택하여 AMSI 검사 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다.

    • AMSI 검사를 사용하도록 설정하려면 AMSI 검사 기능 사용 단추를 선택합니다. 이렇게 하면 모든 HTTP 요청 헤더가 검사됩니다.
    • 검사를 사용하지 않도록 설정하려면 AMSI 검사 기능 완전히 사용 안 함 단추를 선택합니다.

  6. 사용하도록 설정한 후 사용 가능한 다음 옵션의 특정 요구 사항에 따라 요청 본문을 검사하기 위해 요청 본문 검사 모드를 선택합니다.

    • 끄기: 본문 검사를 사용하지 않도록 설정합니다. 기존 헤더 검사 기능에는 영향을 주지 않습니다.
    • 분산 모드: 시스템 미리 정의된 중요한 엔드포인트 및 본문 검사에 포함되도록 지정된 기타 엔드포인트로 전송되는 요청 본문을 검사합니다.
    • 전체 모드: 명시적으로 제외된 엔드포인트를 제외한 모든 엔드포인트로 전송되는 요청 본문을 검사하여 공정한 보안 보증을 유지하면서 성능을 향상시킵니다.

  7. 선택한 모드에 따라 본문 검사에서 포함하거나 제외해야 하는 엔드포인트를 지정하고 추가를 클릭합니다.

    엔드포인트에 전체 요청 URI 경로가 포함되어 있는지 확인합니다. 예를 들어 를 포함/SitePages/Home.aspx하면 , 및 http://test.contoso.com/sites/marketing/SitePages/Home.aspx와 같은 http://test.contoso.com/SitePages/Home.aspxURL을 검색할 수 있습니다. URI의 구문 구조를 이해하려면 Uniform Resource Identifier - Wikipedia를 참조하세요.

    다른 모드를 사용하는 AMSI 검사 구성 페이지의 스크린샷.

  8. 필요한 변경 내용을 적용한 후 확인을 선택하여 효과적으로 적용합니다.

참고

  • 각 웹 애플리케이션은 AMSI에 대해 독립적으로 구성되어야 하며 지정된 엔드포인트 목록은 해당 웹 애플리케이션에만 적용됩니다.
  • AMSI가 웹 애플리케이션에 대해 사용하지 않도록 설정된 경우 업그레이드 후에도 새 본문 검사 기능이 비활성화된 상태로 유지됩니다.
  • 헤더 검사를 사용하도록 설정하지 않으면 본문 검사를 사용하도록 설정할 수 없습니다.
  • 본문 검사의 기본 구성은 분산 모드입니다. SPSE 버전 25H1로 업그레이드한 후 AMSI를 사용하도록 설정된 모든 웹 애플리케이션은 분산 모드에서도 본문 검사를 사용하도록 설정됩니다.

PowerShell을 사용하여 AMSI 구성

또는 PowerShell 명령을 사용하여 웹 애플리케이션에 대한 AMSI 통합을 활성화/비활성화할 수 있습니다.

비활성화하려면 다음 PowerShell 명령을 실행합니다.

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

활성화하려면 다음 PowerShell 명령을 실행합니다.

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

SharePoint Server 구독 버전 버전 25H1 빌드로 업그레이드한 후 PowerShell을 사용하여 본문 검사 설정을 구성할 수도 있습니다. 본문 검사 모드를 설정하려면 다음 명령을 실행합니다.


$webAppUrl = "http://spwfe"

$webApp = Get-SPWebApplication -Identity $webAppUrl

$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full

$webApp.Update() # To save changes

# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes

본문 검사 모드를 대상 엔드포인트가 있는 분산 모드로 설정하려면 다음 명령을 실행합니다.

# Get current list of targeted endpoints

$webApp.AMSITargetedEndpoints

# Add a targeted endpoint

$webApp.AddAMSITargetedEndpoints('/test/page123', 1)

# Get a certain targeted endpoint

$webApp.GetAMSITargetedEndpoint('/test/page123')

# Remove a targeted endpoint

$webApp.RemoveAMSITargetedEndpoints('/test/page123')

# Update the web app object to save changes

$webApp.Update()

본문 검사 모드를 제외된 엔드포인트가 있는 전체 모드로 설정하려면 다음 명령을 실행합니다.

# Get current list of excluded endpoints

$webApp.AMSIExcludedEndpoints

# Add an excluded endpoint

$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)

# Get a certain excluded endpoint

$webApp.GetAMSIExcludedEndpoint('/test/page123')

# Remove an excluded endpoint

$webApp.RemoveAMSIExcludedEndpoints('test123456')

# Update the web app object to save changes

$webApp.Update()

SharePoint Server와 AMSI 통합 테스트 및 확인

AMSI(맬웨어 방지 검사 인터페이스) 기능을 테스트하여 올바르게 작동하는지 확인할 수 있습니다. 여기에는 테스트 목적으로 Microsoft Defender 인식하는 특수 테스트 문자열을 사용하여 SharePoint Server에 요청을 보내는 작업이 포함됩니다. 이 테스트 문자열은 위험하지 않지만 Microsoft Defender 악의적인 것처럼 처리하므로 악의적인 요청이 발생할 때 동작하는 방식을 확인할 수 있습니다.

SharePoint Server에서 AMSI 통합을 사용하도록 설정하고 Microsoft Defender 맬웨어 검색 엔진으로 사용하는 경우 이 테스트 문자열이 있으면 SharePoint에서 처리하는 대신 AMSI에서 요청이 차단됩니다.

테스트 문자열은 EICAR 테스트 파일 과 비슷하지만 URL 인코딩 혼동을 방지하기 위해 약간 다릅니다.

SharePoint Server에 대한 요청에서 테스트 문자열을 쿼리 문자열 또는 HTTP 헤더로 추가하여 AMSI 통합을 테스트할 수 있습니다.

쿼리 문자열을 사용하여 AMSI 통합 테스트

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

: $eicar-standard-antivirus-test-fileh+h*에 요청을 https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7보냅니다.

Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET

HTTP 헤더를 사용하여 AMSI 통합 테스트

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

예를 들어 다음과 같은 요청을 보냅니다.

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender 다음 악용으로 이를 검색합니다.

Exploit:Script/SharePointEicar.A

참고

Microsoft Defender 이외의 맬웨어 검색 엔진을 사용하는 경우 맬웨어 검색 엔진 공급업체와 검사 SharePoint Server의 AMSI 기능과의 통합을 테스트하는 가장 좋은 방법을 결정해야 합니다.

기타 참조

Microsoft Defender 기본 AMSI 솔루션으로 사용하는 성능 효과

기본적으로 AMSI 지원 솔루션인 MDAV(Microsoft Defender 바이러스 백신)는 Windows 10, Windows Server 2016 이상을 실행하는 엔드포인트 및 디바이스에 자동으로 사용하도록 설정되고 설치됩니다. 바이러스 백신/맬웨어 방지 애플리케이션을 설치하지 않은 경우 SharePoint Server AMSI 통합은 MDAV에서 작동합니다. 다른 바이러스 백신/맬웨어 방지 애플리케이션을 설치하고 사용하도록 설정하면 MDAV가 자동으로 꺼집니다. 다른 앱을 제거하면 MDAV가 자동으로 다시 켜지고 SharePoint Server 통합이 MDAV에서 작동합니다.

SharePoint Server에서 MDAV를 사용할 경우의 이점은 다음과 같습니다.

  • MDAV는 악의적인 콘텐츠와 일치하는 서명을 가져옵니다. Microsoft가 차단할 수 있는 익스플로잇에 대해 알게 되면 새 MDAV 서명을 배포하여 악용이 SharePoint에 영향을 미치지 않도록 차단할 수 있습니다.
  • 기존 기술을 사용하여 악성 콘텐츠에 대한 서명을 추가합니다.
  • 서명을 추가하기 위해 Microsoft의 맬웨어 연구 팀의 전문 지식을 사용합니다.
  • MDAV가 다른 서명을 추가하기 위해 이미 적용하는 모범 사례를 사용합니다.

AMSI 검사는 CPU 리소스를 사용하기 때문에 웹 애플리케이션에 성능에 영향을 미칠 수 있습니다. MDAV를 사용하여 테스트할 때 AMSI 검사에서 관찰되는 고유한 성능 영향은 없으며, 문서화된 기존 SharePoint Server 바이러스 백신 제외에 대한 변경 내용은 없습니다. 각 바이러스 백신 공급자는 AMSI 기술을 활용하는 자체 정의를 개발합니다. 따라서 보호 수준은 최신 위협을 감지하기 위해 특정 솔루션을 업데이트할 수 있는 빈도에 따라 달라집니다.

명령줄을 통해 버전 Microsoft Defender

참고

Microsoft Defender 사용하는 경우 명령줄을 사용하고 서명을 최신 버전으로 업데이트해야 합니다.

  1. 관리자 권한으로 시작 Command Prompt 합니다.
  2. %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>(으)로 이동합니다.
  3. mpcmdrun.exe -SignatureUpdate을(를) 실행합니다.

이러한 단계에서는 현재 엔진 버전, 업데이트된 정의에 대한 검사 및 보고서를 결정합니다.

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>
  • Last updated on